Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 15

CVE-2021-28480, CVE-2021-28481 et CVE-2021-28483 : Multiple vulnérabilités dans Microsoft Exchange Server

Dans le cadre de son Patch Tuesday, Microsoft a publié un correctif pour ces 4 vulnérabilités affectant les serveurs Exchange dont 3 ayant un score CVSSv3 supérieur à 9. Elles permettent à un attaquant de réaliser une exécution de code arbitraire à distance. Le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].

Liens :

CVE-2021-20020 et CVE-2021-20021 : Multiple vulnérabilités dans les produits Sonic Wall

Le 10 avril 2021, l'éditeur a publié des avis concernant deux vulnérabilités critiques avec un score CVSSv3 supérieur à 9. La première vulnérabilité, CVE-2021-20020 affecte le produit SonicWall GMS et permet à un attaquant à distance non authentifié d'élever ses privilèges jusqu'au niveau root. La seconde, CVE-2021-20021, affecte les produits SonicWall On-premise Email Security (ES) et Hosted Email Security (HES). Elle permet à un attaquant de créer un compte administrateur en envoyant une requête HTTP particulière à l'hôte du service SonicWall Email Security.

Liens :

CVE-2021-27602 : Vulnérabilité dans SAP Commerce

Cette vulnérabilité critique, avec un score CVSSv3 de 9.9, affecte l'interface d'administration (backoffice) de SAP Commerce. Elle permet à un attaquant authentifié d’exécuter du code arbitraire et ainsi compromettre l'intégrité, la confidentialité et la disponibilité de l'application.

Liens :

CVE-2021-25668 et CVE-2021-25669 : [SCADA] Multiple vulnérabilités dans Siemens SCALANCE

L'éditeur a publié un avis de sécurité concernant deux vulnérabilités avec un score CVSSv3 de 9.8, affectant le serveur Web des produits SCALANCE lors du traitement d'une requête HTTP POST. Ces vulnérabilités, basées sur un dépassement de tampon (buffer-overflow), permettent à un attaquant d'exécuter du code arbitraire à distance et de réaliser un déni de service.

Liens :

CVE-2015-7705, CVE-2015-7871, CVE-2019-18342, CVE-2019-18337, CVE-2021-27389, CVE-2021-27392, CVE-2019-18339 et CVE-2015-8214 : [SCADA] Multiple vulnérabilités dans les produits Siemens

Siemens a publié ou mis à jour 8 avis de sécurité concernant des vulnérabilités avec un score CVSSv3 supérieur à 9. Les produits suivants sont concernés : TIM, Control Center Server (CSS), Opcenter Quality QMS Automotive, Siveillance Video Open Network Bridge, SiNVR/SiVMS Video Server et SIMATIC. Veuillez-vous référer aux avis de l'éditeur ci-dessous.

Liens :

CVE-2020-27221 : Vulnérabilité dans les produits IBM

L'éditeur continue à déployer des correctifs concernant la vulnérabilité référencée CVE-2020-27221 (score CVSSv3 de 9.8). Elle est basée sur un dépassement de tampon (buffer-overflow) dans Eclipse OpenJ9 lorsque la machine virtuelle ou JNI (Java Native Interface) convertit des caractères UTF-8 vers l’encodage local. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance et aussi de provoquer un déni de service à distance en envoyant une trop longue chaîne de caractères. Les produits suivants disposent maintenant d'un correctif : Tivoli Composite Application Manager for Transactions, IBM Transformation Extender, WebSphere Transformation Extender et IBM Transformation Extender. En ce qui concerne les autres produits, veuillez-vous référer à l'ancien bulletin d’actualité du 29 mars 2021.

Liens :

CVE-2021-28310 : Vulnérabilité dans Win32k

Microsoft met en avant la connaissance de code d'exploitation publique ainsi que la détection de l'exploitation de cette vulnérabilité affectant le service Win32k de Windows. Elle permet à un attaquant de réaliser un élévation de privilège.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 12 avril 2021 au 18 avril 2021, le CERT-FR a émis les publications suivantes :


Dans la période du 12 avril 2021 au 18 avril 2021, le CERT-FR a mis à jour les publications suivantes :